​您好, 渔翁信息欢迎您!
联系电话:0755-85225779

新闻中心
NEWS CENTER

新闻中心
如何选择商密加密卡
来源:原创 | 作者:深圳渔翁信息 刘红文 | 发布时间: 2017-12-05 | 2662 次浏览 | 分享到:


       随着国家对网络安全的要求的不断落实,各种安全测评、等级达标、网络安全演练等都让各个系统业务开发商、运营商开始采用国家密码(商密)技术来保障自己的系统。但是大量系统开发人员在采用商密技术时都往往离不开加密卡的采用。怎么选择适合自己的加密卡呢?下面我们介绍基于PKI 体系加密卡选择。


       先,商用密码产品是保护不涉及国家秘密的信息安全的工具,是国家专控的特殊产品。选择具有国家密码局核准产品型号的产品是必须的,像渔翁信息的产品批准型号为: SJK1120-ASJK1120-B加密卡,才能保障涉及开发的产品的合规合法。

       选择实力强,产品稳定的制造商产品。我国商密加密卡制造商在1997年左右出现,历史比较早的有渔翁信息、卫士通(30所)、江南天安(56所)、得安,目前,前三家占全国市场6层以上。没有强劲实力、过硬技术,要在强大中国制造的环境生存是不可能的。

       其次,什么是商密加密卡?

       符合国家密码管理局关于PCI/PCI-E密码卡的相关技术规范。全面支持SM1/SM6SM2SM3SM4等国产密码算法以及DES3DESAESAES192AES256RSASHA1等多种国际标准算法,能够为各类安全平台提供多线程、多进程和多卡并行处理的高速密码运算服务,满足其对数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成和管理等功能的要求,保证敏感数据的机密性、真实性、完整性和抗抵赖性。符合安全、高效、完善的密钥管理机制。


  • 商密加密卡,按照产品通信插槽形态,有PCIPCI-EMini PCI-E三种,同时要注意X1X16的主板插槽匹配;按照加密算法芯片组合,有SM1/SM2/SM3/SM4SM1/SM2/SM3SM2/SM3/SM4;还有满足各种国际算法的,具体要根据生产厂产品来确定。渔翁信息的Mini PCI-E加密卡是一种比较经济、性能要求不太高时的最好选择。
  • 基于卡槽形态,现在支持PCI的主板非常少,主流的还是选择PCI-EMini PCI-E的。再根据所开发产品的机箱,进行半高卡、全高卡或者卧式插槽选择。
  • 基于芯片选择,设计时要规划所要求的算法有哪些,就可以按照自己要求与加密卡生产企业进行协商。一般尽量选择企业定型型号,这样在备货、生产时就比较节约时间和成本。像渔翁信息这种国内龙头商密加密卡生产企业,其产品规格多、量大,就可以做到灵活选择。


       再次,产品性能应合理选择。

       商密产品作为特殊密码产品,国家对其生产、研发要求高;各种算法芯片成本也是比较高的,所以合理选择适合开发产品所需性能是控制成本、供货周期、售后服务的关键。开发人员应先确定算法,再确定性能!

       1、国家密码重要算法:对称算法的 SM1SM4,主要用于加解密运算,其中SM1为非公开的国密算法,以芯片硬件实现运算,性能不太高,用于关键信息运算;SM4运算速度高,适合海量数据处理。非对称算法的SM2,主要用于签名验签;杂凑算法(哈希)的 SM3主要用于完整性。我国的SM2SM9已经成为国际标准,这个标志着中国密码技术与国际先进水平相对。

       以渔翁信息产品为例:SM1 密码算法性能可实现800Mbps SM2 密码算法签名性能可实现18000 /秒;SM3密码算法性能可实现170Mbps; SM4密码算法性能可实现1.2Gbps

       1024RSA 密码算法性能可实现签名5500//验证4万次/; AES3DES密码算法性能可实现1.2Gbps

       2、开发时要清楚什么算法要多少,盲目追求高性能,那成本也是杠杠的。同时,要注意密码卡的性能能不能发挥最好效率,一方面是制造商的效率优化技术,另一方面就是配套其他硬件的环境。所以拿到加密卡进行测试,这个环节不能少。主流制造商产品一般与产品资料数据相差不大。

       另外,加密卡的硬件真随机数芯片生成随机数,提升口令及密钥的安全,大家都知道密码的核心安全就是密钥的安全。也就是说,随机数发生器必须是硬件的。

       最后,开发工作的准备

       掌握符合国家密码管理局制定的《公钥密码基础设施应用技术体系密码设备应用接口规范》标准接口规范。PKCS#11CSPJCE等国内、国际标准接口这些是常见的接口,加密卡制造商会提供各种调用密码卡的标准API 函数接口中间件,支持开发的产品使用密码服务。渔翁信息可以定制开发接口,这个对开发人员来说,是非常重要的,毕竟定制是有价值的。


看看实际制造商产品介绍:

       PCI-E密码卡系列是渔翁信息在国内率先采用PCI-E总线技术、自主研发并拥有全部自主知识产权的高速密码设备。产品通过国家密码管理局检测中心检测,国密产品批准型号为: SJK1120-ASJK1120-B

       渔翁信息PCI-E密码卡包括V1.0V2.0V3.0V4.0mini PCI-E五大系列产品,全面支持SM1SM2SM3SM4等国产密码算法及AESRSA等国际标准算法,部分产品还可通过密码卡上的USB接口直接连接智能密码钥匙进行用户、权限和密钥管理,以满足用户的各种使用需求。

       渔翁信息PCI-E密码卡支持WindowsLinux等主流操作系统,提供符合《密码设备应用接口规范》要求的国家标准接口和国际通用标准接口,提供多线程、多进程和多卡并行处理的高速密码运算服务。产品具备数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成与管理等多种功能,满足《信息系统安全等级保护》三级及以上的技术要求。

       产品特性

高安全性


  • 采用国家密码管理局批准使用的专用密码算法芯片,实现SM1SM2SM3密码算法
  • 支持SM4专用分组密码算法(无线局域网和可信计算领域)
  • 采用国家密码管理局批准使用的专用密码算法芯片,实现RSA密码算法
  • 采用硬件真随机数芯片生成随机数,提升口令及密钥的安全质量
  • 提供多种自身安全保护措施,保护密码卡中的敏感信息不被非法获取、伪造和篡改
  • 采用严格的密钥安全保护机制,卡内各级密钥均不能以明文方式导出
  • 可设置的多级权限管理,通过权限分割保证密码卡内数据与程序的安全
  • 用户身份可通过高安全性智能密码钥匙进行识别
  • 支持使用智能密码钥匙对密钥和密码卡内敏感信息备份


高性能


  • 密码卡主控芯片采用高性能FPGA,实现对称加密算法的高性能
  • 计算机与密码卡的数据传输,采用高性能的DMA处理方式,大幅减少CPU占用
  • 采用国家密码局批准使用的高性能专用密码算法芯片,保证密码计算的高性能


 高易用性


  • 适用于PC、工业PC、服务器等多种计算平台,支持PCI-Emini PCI-E插槽
  • 支持32位、64位操作系统,支持多线程、多进程、多卡并行处理和跨平台应用
  • 支持用户/内核态接口以及PKCS#11CSPJCE等国内、国际标准接口
  • 具有完整的文件系统,提供用户存储空间
  • 支持密钥数目和文件空间的定制配置


       产品功能

功能类别

功能描述

密钥生成

支持国密SM2算法密钥对的生成、支持RSA密钥对生成、支持对称密钥的生成

密钥存储

默认存储64SM2密钥对和64RSA密钥对,支持存储1024个对称密钥,可根据客户需求扩展

密钥销毁

支持销毁 SM2密钥对、RSA 密钥对和通信密钥,且销毁后通过任何技术均无法恢复

密钥更新

支持非对称密钥对和对称密钥的更新功能

密钥备份和恢复

支持设备内部密钥以密文形式备份至设备外部存储,并采用门限秘密共享机制确保密钥备份安全,备份密钥可恢复到相同型号的其他加密卡设备中

真随机数生成

采用经国密局批准使用的物理噪声源产生器生成真随机数,确保密钥安全

非对称加解密

支持国密SM2椭圆曲线密码算法加解密,密钥长度为256

支持RSA算法加解密

对称加解密

支持国密SM1SM4SM6对称算法加解密

支持DES3DESAES等算法加解密

完整性运算

支持国密SM3杂凑算法,确保数据完整性

签名/签名验证

支持非对称算法的私钥对数据进行签名,使用对应的公钥进行签名验证

身份识别

支持使用非对称算法的公钥进行用户身份鉴别

开发支持

渔翁统一应用程序编程接口(FM_API)

支持用户态和内核态编程接口

支持微软CSPPKCS#11接口、JCE接口等标准接口

支持用户定制接口的开发

支持《密码设备应用接口规范》国家标准接口

支持多进程、多线程调用

密钥管理

采用三级密钥管理体系,包括主密钥、密钥保护密钥及工作密钥,密钥均以密文形式存在密码卡内部,密钥管理安全

权限管理

采用分级权限管理,分为操作员和管理员,管理员可生成3个或以上,最多5个,只有登录半数以上的管理员才能满足管理权限,进行各种管理操作。管理员和操作员的身份通过USBKEY实现双因子认证

文件管理

具有自主知识产权的嵌入式文件系统。支持目录和文件的创建、删除、枚举和读写,支持多级目录管理,可设置文件的读写权限

证书管理

支持专用的数字证书操作接口,支持数字证书的读写、枚举、删除,可作为数字证书的安全载体


       性能参数

       算法性能参数:

算法

性能指标

SM1/SM6加解密

800Mbps

SM4加解密

1.2Gbps

3DES加解密

1.2Gbps

AES加解密

1.2Gbps

RSA1024密钥对生成

1 /

RSA1024签名

5500 /

RSA1024验证

40000/

RSA2048密钥对生成

0.1 /

RSA2048签名

30 /

RSA2048验证

350 /

SM2密钥对生成

1900 /

SM2签名

1800 /

SM2验证

1300/

SM2加密

800 /

SM2解密

1300 /

SM3

1 Mbps

SHA1

5 Mbps

真随机数生成

19 Mbps

 

       功能性能参数:

功能

性能指标

对称密钥数目

1024

RSA密钥数目

768

SM2密钥数目

1024

文件系统

6M Bytes

 

知识交流
解决方案
+86-755-85225779
+86-755-89373746
info@fisec.com.cn

深圳市宝安区留仙一路百财科技园 L 栋二楼 C